История стандарта
В последние годы по всему миру участились случаи взлома банковских информационных систем, а также факты мошенничества и кражи данных держателей карт. Подобная нездоровая тенденция послужила одной из главных причин, побудившей международные платежные системы объединить свои усилия и принять дополнительные меры для защиты своих клиентов.
С 2001г. платежные системы начали разрабатывать собственные программы обеспечения информационной безопасности для снижения рисков мошенничества — в VISA это были программы Cardholder Information Security Program (CISP) и Account Information Security (AIS), в MasterCard была разработана программа Site Data Protection (SDP). В 2004г. был разработан единый набор требований к безопасности данных — Payment Card Industry Data Security Standard 1.0, объединивший в себе требования ряда программ по безопасности платежных систем VISA Int., MasterCard, American Express, Discover Card и JCB.Впоследствии, в сентябре 2006г., для развития и продвижения стандарта PCI DSS, был создан специальный Совет по безопасности — PCI Security Standards Council. Основными функциями Совета по безопасности являются разработка и публикация стандартов PCI и всей сопутствующей документации, определение требований к компаниям, планирующим получить сертификацию для проведения аудитов по PCI DSS («QSA») и сканирований («ASV»), осуществление непосредственно самой сертификации, проведение обучающих тренингов для будущих QSA-аудиторов, а также осуществление контроля качества проведенных аудиторами работ. Официальным источником информации о стандартах PCI является сайт Совета по безопасности[66], там можно найти:
•ответы на частые вопросы — FAQ;
•описание рисков, связанных с каждым требованием стандарта — Navigating PCI DSS Document;
•дополнительные материалы и рекомендации Совета по выполнению требований стандарта PCI DSS;
•тексты стандартов PCI DSS, PA DSS и PCI PED на различных языках[67].
В свою очередь международные платежные системы принимают отчетность по результатам аудитов и оценивают работу QSA.
Обновленная версия стандарта PCI DSS 1.1 вышла в сентябре 2006г., в ноябре 2008г. вышла версия 1.2 и текущая версия 2.0 на момент написания книги была принята в ноябре 2010г. Несмотря на большое количество различных версий, по сути набор требований не претерпел существенных изменений, новые версии стандарта в основном содержали уточнение требований и исправление ошибок.